Chuyên gia y tế sử dụng máy tính bảng. Khái niệm công nghệ y khoa.

Sự thật Phũ phàng về Hình thức Bảo mật Phù hợp cho Dữ liệu Y tế

Các dữ liệu về sức khỏe cá nhân, thường được gọi là Thông tin sức khỏe được bảo vệ (PHI), sẽ luôn cần các tổ chức y tế lưu trữ và chuyển giao. Ưu tiên bảo mật dữ liệu sẽ tiếp tục giữ vai trò quan trọng trong việc chống lại các cuộc tấn công mạng và việc mất dữ liệu nhằm bảo vệ thông tin PHI. Trên thực tế, một cuộc khảo sát do Hiệp hội Y khoa Hoa Kỳ thực hiện cho thấy 92% bệnh nhân tin rằng họ có quyền riêng tư đối với dữ liệu y tế của họ và dữ liệu này cần được bảo vệ. Thế nhưng, với loại dữ liệu cần có yếu tố di động và có thể chia sẻ được ngay khi cần như dữ liệu y tế, thì đây đúng là câu chuyện "nói thì dễ, làm mới khó".

Mặc dù việc bảo vệ thông tin PHI nghe có vẻ không quan trọng, nhưng trên thực tế mọi hành vi vi phạm đều có thể gây ra hậu quả đáng gờm. Ví dụ: Scripps Health đã phải chi trả 3,5 triệu đô la sau một cuộc tấn công tống tiền bằng mã độc vào năm 2021.

Không có chủ đích tạo tin đồn nhảm – nhưng phải thừa nhận rằng số vụ vi phạm liên quan đến các tổ chức y tế đang trên đà gia tăng. Kẻ xấu hiểu giá trị của việc xâm phạm các dữ liệu y tế, cùng với việc các cuộc tấn công tống tiền bằng mã độc đang gia tăng nhanh chóng, khiến lĩnh vực chăm sóc sức khỏe trên toàn thế giới trở thành mục tiêu mang tính chiến lược.

So, what can be done to ensure strong data security?

Các biểu tượng về an ninh và y tế. Khái niệm về các vấn đề bảo mật dữ liệu cho các tổ chức y tế.

Với một yêu cầu cực kỳ đơn giản, đó là mã hóa dữ liệu trở thành một phần quan trọng trong chiến lược bảo mật của mọi tổ chức y tế, ta hãy cùng giải quyết những thử thách đặc biệt này và nhu cầu tuân thủ các quy định không ngừng thay đổi bằng cách đơn giản hóa mọi thứ.

Sau cùng thì những gì mà ta có thể nhìn thấy được đều có nguy cơ bị tấn công, và ngược lại, chúng ta cũng có thể bảo mật được chúng! Biết chọn thời điểm để cân nhắc một kế hoạch bảo mật dữ liệu cho mình là rất quan trọng.

Ở Kingston, chúng tôi nhận thức được rằng có hình thức hợp lý để bảo vệ dữ liệu y tế là một chuyện hệ trọng. Có một số điều bạn cần lưu ý khi thực hiện bảo mật mã hóa cho dữ liệu y tế của mình. Đầu tiên, để tuân thủ quy định, việc bạn có hiểu được giá trị của việc mã hóa dữ liệu hay không là một yếu tố quan trọng. HIPAA và các quy định quốc tế khác như GDPR và CCPA đều có yêu cầu riêng về việc mã hóa dữ liệu cá nhân. Bằng việc mã hóa dữ liệu, các tổ chức y tế sẽ không phải chịu ảnh hưởng của việc vi phạm dữ liệu và có thể duy trì việc tuân thủ các quy định trên.

Nhưng ngay chính mã hóa cũng khá phức tạp, vì thường có hai loại mã hóa như sau: Mã hóa dựa trên phần cứng và dựa trên phần mềm.

Hiểu được sự khác nhau giữa mã hóa phần mềm và mã hóa phần cứng có ý nghĩa quan trọng với việc bảo mật dữ liệu y tế của bệnh nhân. Mã hóa phần mềm thường rẻ hơn nếu thực hiện trả trước, nhưng tính bảo mật của loại mã hóa này phụ thuộc nhiều vào hệ thống máy chủ. Do đó, mã hóa phần mềm dễ bị tấn công hơn vì mật khẩu hoặc khóa khôi phục được lưu trữ trong bộ nhớ của hệ thống máy chủ, tệp phân trang bộ nhớ và tệp ngủ đông. Ngoài ra, nhiều định dạng tệp sau khi mã hóa cũng có thể bị tấn công bằng các công cụ phần mềm miễn phí trên internet, hoặc do chi phí thấp nên có thể xuất hiện các cuộc tấn công Brute Force nhằm phá hủy quá trình xác thực. Máy tính ngày nay có thể thực hiện đoán mật khẩu hơn 1 tỷ lần mỗi giây. Chỉ một mạng máy tính cũng đã có thể song song thực hiện sao chép và tấn công các tệp được mã hóa bằng phần mềm, tiếp tục cắt giảm thời lượng để thực hiện các cuộc tấn công Brute Force.

Mã hóa phần cứng là một hệ sinh thái bảo mật chuyên dụng nằm hoàn toàn bên trong thiết bị lưu trữ, cho cả ổ USB và ổ SSD ngoài. Mã hóa dựa trên phần cứng luôn ở trạng thái bật và bảo vệ dữ liệu mọi lúc. Trong khi với mã hóa phần mềm, thì chỉ cần định dạng lại ổ đĩa là đã có thể xóa loại mã hóa này khỏi ổ đĩa, và ai cũng có thể làm được điều này. Đối với các đơn vị cung cấp dịch vụ y tế, điều này có nghĩa là một nhân viên "hai mang" làm việc trong đơn vị có thể vô hiệu hóa tính năng bảo vệ và biến một ổ đĩa mã hóa phần mềm thành một thiết bị lưu trữ dễ dàng cho kẻ xấu tấn công.

Do đó, mã hóa phần cứng nói chung an toàn hơn theo cấp số nhân vì hệ thống máy chủ sẽ không thể lấy được mật khẩu và khóa mã hóa từ mã hóa phần cứng. Tuy nhiên, lớp bảo mật này của mã hóa phần cứng có giá cao hơn so với các ổ lưu trữ không được mã hóa. Khi mà hành vi vi phạm ở mức trung bình gây thiệt hại hơn 4,35* triệu đô la ở Mỹ vào năm 2022, tiết kiệm cho việc mã hóa phần mềm dường như là điều không thực tế khi đã có lựa chọn tốt hơn cho dữ liệu di động – USB mã hóa phần cứng và ổ SSD ngoài với mã hóa XTS-AES 256-bit, kết hợp cùng các biện pháp bảo vệ khỏi các cuộc tấn công Brute Force và BadUSB. Nếu ổ đĩa mã hóa bằng phần cứng bị mất, thì ta hoàn toàn có thể giả định rằng ổ đĩa đó vẫn an toàn và sẽ tiếp tục bảo vệ dữ liệu PHI bằng tính năng bảo mật mạnh mẽ của loại mã hóa này.

Dòng sản phẩm ổ đĩa mã hóa phần cứng 256-bit của Kingston IronKey XTS-AES gồm các ổ đĩa thân thiện với người dùng và các ổ đĩa này sẽ khôi phục sự tín nhiệm của người dùng với bảo mật. Hỗ trợ người dùng hoặc nhà cung cấp sử dụng nhiều mật khẩu để có thể khôi phục quyền truy cập vào ổ đĩa trong trường hợp quên mật khẩu. Sử dụng cụm mật khẩu có tối đa 64 ký tự hiện là giải pháp thay thế cho các mật khẩu phức tạp mà không ai có thể nhớ được. Cụm mật khẩu này có thể là tiêu đề của một cuốn sách hoặc một bài hát mà bạn yêu thích, danh sách các từ, một dòng thơ, lời bài hát hoặc các cụm từ khác mà các bác sĩ và chuyên viên y tế có thể dễ dàng nhớ được – nhưng đối với những kẻ tấn công trong khoản thời gian giới hạn của Brute Force thì việc đoán là gần như không thể.

Tính năng cụm mật khẩu khả dụng trên các ổ SSD ngoài của Vault Privacy 50, 50C và Vault Privacy 80. Các ổ đĩa bàn phím như Vault Privacy 80ES, Keypad 200 được thiết kế dựa trên mã PIN và tương tự như việc sử dụng điện thoại di động cho trong trường hợp mà người dùng thích mã PIN. Ổ đĩa VP80ES cũng hỗ trợ người dùng sử dụng cụm mật khẩu, có thể sử dụng bàn phím chữ và số thân thiện với người dùng trên màn hình cảm ứng để tạo cụm mật khẩu.

Bản thiết kế các ổ đĩa mã hóa phần cứng khác nhau của Kingston IronKey. Ổ đĩa USB và SSD được mã hóa phần cứng.

Tất cả các ổ IronKey đều đi kèm với tính năng bảo vệ chống lại các cuộc tấn công Brute Force. Khi kẻ tấn công tiến hành thử mật khẩu, ổ đĩa sẽ đếm các lần thử không hợp lệ và khóa mật khẩu Người dùng; khi hết số lần thử của Quản trị viên, ổ đĩa sẽ tự động xóa mã hóa và tất cả dữ liệu sẽ mất vĩnh viễn. Mã hóa phần mềm không có khả năng bảo vệ mạnh trước các cuộc tấn công như trên.

Các ổ đĩa độc lập với hệ điều hành như Vault Privacy 80ES và Keypad 200 là các ổ đĩa lý tưởng để bảo vệ dữ liệu truyền giữa các máy y tế và máy tính, và các ổ đĩa này thường được dùng trong nhiều thiết bị sử dụng trong các dịch vụ y tế. Ví dụ: có nhiều loại máy ở phòng thí nghiệm yêu cầu các kỹ thuật viên chuyển dữ liệu thủ công vào hệ thống máy tính của nhà cung cấp.

Năm nhân viên y tế dùng laptop trong cuộc họp ở văn phòng có đủ ánh sáng. Có bảng trắng phía sau. Họ đang ở quanh bàn. Một người đứng, còn những người khác ngồi. Một người cười, hướng mặt vào máy ảnh.

Ngoài các thiết bị được mã hóa bằng phần cứng, các tổ chức y tế nên xem xét thêm các biện pháp vệ sinh dữ liệu an ninh mạng như đào tạo nhân viên về các quy tắc thực hành tốt nhất, triển khai xác thực nhiều yếu tố và thường xuyên cập nhật phần mềm và hệ thống. Sự khác nhau giữa việc trở thành nạn nhân của các cuộc tấn công tống tiền bằng mã độc và khả năng khôi phục hệ thống nhanh chóng nằm ở việc sao lưu thường xuyên trên ổ SSD ngoài được mã hóa bằng phần cứng, kể cả với các đơn vị cung cấp dịch vụ y tế nhỏ.

Các tổ chức y tế có thể bảo vệ dữ liệu bệnh nhân một cách hiệu quả bằng cách áp dụng cách tiếp cận theo lớp đối với bảo mật và bảo vệ dữ liệu trong thói quen hàng ngày của nhân viên. Nằm trong chiến lược bảo mật dữ liệu, việc tích hợp ổ đĩa mã hóa phần cứng Kingston IronKey có khả năng đem lại hiệu quả trong việc tuân thủ luật HIPAA và các quy định khác về bảo vệ dữ liệu y tế.

Có rất nhiều sản phẩm Kingston IronKey mà bạn có thể tìm hiểu thêm để đáp ứng nhu cầu bảo mật dữ liệu y tế của mình, hoặc bạn có thể chọn hỏi ý kiến chuyên gia về Kingston IronKey để họ có thể giúp bạn giữ cho dữ liệu của bệnh nhân an toàn.

#KingstonIsWithYou #KingstonIronKey

Biểu tượng Hỏi chuyên gia của Kingston trên chipset bo mạch

Hỏi Chuyên gia

Lên kế hoạch cho giải pháp phù hợp yêu cầu phải có sự hiểu biết về các mục tiêu bảo mật của dự án. Hãy để các chuyên gia của Kingston hướng dẫn cho bạn.

Hỏi Chuyên gia

Video liên quan

Bài viết liên quan